WebSphere SPNEGO - 無法從 JAAS 主題獲取委託人的憑證
問題
嘗試在 WebSphere 應用程序伺服器(WAS ND,單節點) 9.0.0.7 上啟用 SPNEGO 時出現錯誤。我在另一台伺服器上成功了,但是對於這個我找不到問題。
我收到以下錯誤消息:
org.ietf.jgss.GSSException, major code: 13, minor code: 0 major string: Invalid credentials minor string: Cannot get credential from JAAS Subject for principal: HTTP/server.aa.bbb.ccc@DDDDDDD.BBB.CCC
並從跟踪文件中:
javax.security.auth.login.FailedLoginException: Cannot retrieve key from keytab HTTP/server.aa.bbb.ccc@DDDDDDD.BBB.CCC
配置
在域控制器上:
setspn -A HTTP/server.aa.bbb.ccc AD-ACCOUNT-1
ktpass -out AD-ACCOUNT-1.keytab -princ HTTP/server.aa.bbb.ccc@DDDDDDD.BBB.CCC -mapuser AD-ACCOUNT-1 -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL /pass <PASSWORD>
WAS 使用使用者 LDAP 連接成功配置
AD-ACCOUNT-1
。密鑰表儲存為
/app/sysx/WebSphere/AppServer/AD-ACCOUNT-1.keytab
$AdminTask createKrbConfigFile {-krbPath /app/sysx/WebSphere/AppServer/profiles/InfoSphere/krb5.conf -realm DDDDDDD.BBB.CCC -kdcHost ddddddd.bbb.ccc -dns ddddddd.bbb.ccc -keytabPath /app/sysx/WebSphere/AppServer/AD-ACCOUNT-1.keytab -encryption aes256-cts-hmac-sha1-96}
WAS Admin Web 控制台:全域安全 > SPNEGO Web 身份驗證
Kerberos 配置文件:
/app/sysx/WebSphere/AppServer/profiles/InfoSphere/krb5.conf
密鑰表:
/app/sysx/WebSphere/AppServer/AD-ACCOUNT-1.keytab
SPNEGO 過濾器: 主機名:
server.aa.bbb.ccc
Kerberos 領域名稱:DDDDDDD.BBB.CCC
過濾器標準:request-url^=ibm/iis/igc/services|ibm/iis/igc/secure|ibm/iis/igc-rest;request-url!=noSPNEGO
修剪:Checked
我已經嘗試將所有別名添加到
/etc/hosts
基於我在網上找到的類似案例的基礎上,但它沒有幫助。
我們遵循本指南並解決了問題: https ://developer.ibm.com/answers/questions/178395/how-do-i-install-the-unrestricted-policy-files-in/